Nul
Afbeelding: Piotr Duszyński
Een nieuwe penetration testing tool gepubliceerd aan het begin van het jaar door een security-onderzoeker kan automatiseren van phishing-aanvallen, met een gemak nog nooit eerder gezien en kan zelfs blazen via aanmelden activiteiten voor accounts beschermd door twee-factor authenticatie (2FA).
De naam Modlishka –de engelse uitspraak van het poolse woord voor mantis– dit nieuwe instrument werd gecreëerd door de poolse onderzoeker Piotr Duszyński.
Modlishka is wat IT-professionals noemen een reverse proxy, maar bewerkt voor de afhandeling van het verkeer bedoeld voor de login-pagina ‘ s en phishing activiteiten.
Afbeelding: ZDNet
Het zit tussen een gebruiker en een doel website, zoals Gmail, Yahoo of ProtonMail. Phishing slachtoffers verbinding met de Modlishka server (de host een phishing-domein), en de reverse proxy-onderdeel achter het maakt verzoeken om de site wil imiteren.
Het slachtoffer ontvangt authentieke inhoud van de legitieme website-laten we zeggen bijvoorbeeld Google, maar alle verkeer van het slachtoffer en de interactie met de legitieme site loopt door en wordt opgenomen op de Modlishka server.
Modlishka backend paneel
Afbeelding: Piotr Duszyński
Een wachtwoord kan een gebruiker invoert, worden automatisch geregistreerd in het Modlishka backend-paneel, terwijl de reverse proxy ook gebruikers wordt gevraagd voor 2FA tokens wanneer gebruikers hebben geconfigureerd hun rekeningen aan te vragen.
Als aanvallers zijn op de hand met het verzamelen van deze 2FA tokens in real-time, ze kunnen gebruiken om in te loggen op accounts van slachtoffers en de invoering van nieuwe en rechtmatige sessies.
De video hieronder laat zien hoe een Modlishka-aangedreven phishing site die naadloos laadt de inhoud van de echte Google-login interface zonder het gebruik van sjablonen, en logt referenties en eventuele 2FA code die de gebruiker zou moeten zien.
Vanwege deze eenvoudige ontwerp, Modlishka maakt geen gebruik van templates,” een term die gebruikt wordt door phishers te beschrijven klonen van legitieme sites. Omdat alle content wordt opgehaald via de legitieme site in real-time, aanvallers hoeft niet veel tijd te besteden bijwerken en fine-tuning ” – sjablonen.
In plaats daarvan, alle aanvallers nodig hebt is een phishing domain name (host op de Modlishka server) en een geldig TLS-certificaat om te voorkomen dat meldingen van gebruikers van het ontbreken van een HTTPS-verbinding.
De laatste stap is het configureren van een eenvoudige config bestand dat wordt verwijderd slachtoffers op de echte legitieme sites op het einde van de phishing werking voordat ze ter plaatse de schetsmatige-op zoek phishing domein.
In een e-mail naar ZDNet, Duszyński beschreven Modlishka als een point-and-click en gemakkelijk te automatiseren systeem dat vergt minimaal onderhoud, in tegenstelling tot de vorige phishing toolkits gebruikt door andere penetration testers.
“Op het moment dat ik begon dit project (dat was in het begin 2018), mijn voornaamste doel was het schrijven van een makkelijk te gebruiken tool, die zou elimineren de noodzaak van het opstellen van statische webpagina sjablonen voor elke phishing-campagne die ik voerde,” de onderzoeker vertelde ons op.
“De aanpak van het creëren van een universeel en gemakkelijk te automatiseren reverse proxy, als een MITM acteur, bleek de meest natuurlijke richting. Ondanks een aantal technische uitdagingen, die ontstond op dit pad, het resultaat bleek echt de moeite waard,” voegde hij eraan toe.
“De tool die ik schreef is een soort van een ‘game changer’, omdat het kan worden gebruikt als een ‘punt en klik op’ proxy, waarmee eenvoudig phishing-campagne met volledige ondersteuning van de 2FA (een uitzondering hierop is een U2F protocol gebaseerd lopers – die is op dit moment de enige veerkrachtig tweede factor).
“Er zijn een aantal gevallen die handmatig afstemmen (door obfuscated JavaScript-code of bijvoorbeeld HTML-tag beveiligingskenmerken als ‘integriteit’), maar deze worden volledig ondersteund door de tool en zal ook in de toekomst verbeterd releases,” Duszyński vertelde ZDNet.
Amnesty International een rapport uitgebracht in December bleek dat geavanceerde state-sponsored acteurs hebben al begonnen met behulp van phishing systemen die kunnen overslaan 2FA al.
Nu, velen vrezen dat Modlishka zou verlagen de drempel om zogenaamde “script kiddies” om phishing-sites binnen enkele minuten, zelfs met veel minder technische vaardigheden vereist. Bovendien, dit instrument zou toestaan cyber-crime groepen makkelijk automatiseren van het maken van phishing pagina ‘ s die zijn makkelijker te onderhouden en moeilijker op te sporen door de slachtoffers.
Toen we vroegen waarom hij bracht zo een gevaarlijk werktuig op GitHub, Duszyński had een mooie intrigerende antwoord.
“We geconfronteerd worden met het feit dat zonder een werkende proof-of-concept, dat werkelijk bewijst het punt, het risico wordt behandeld als theoretisch, en geen echte maatregelen worden genomen om het goed,” zei hij.
“Deze status quo, en een gebrek aan bewustzijn over de risico’ s, is een perfecte situatie voor kwaadwillende actoren die graag benutten.”
Duszyński zei dat zijn tool kunt automatiseren van het proces van een phishing-site passeren 2FA controles gebaseerd op SMS en eenmalige codes, Modlishka is inefficiënt tegen U2F-programma ‘ s die afhankelijk zijn van hardware security toetsen.
Modlishka is momenteel beschikbaar op GitHub onder een open source licentie. Aanvullende informatie is ook beschikbaar op Duszyński ‘ s blog.
Meer cybersecurity nieuws:
Telefoon oplichters zijn het stelen van miljarden elk jaar via een regeling die bekend staat als IRSFG Suite update waarschuwt u wanneer iemand het exporteren van de gegevens van uw bedrijf
Gezichtsherkenning werkt niet zoals de bedoeling is op 42 van 110 getest smartphonesSecurity onderzoeker scheuren Google Widevine DRM (L3)
Nieuwe hardware-agnostisch side-channel attack werkt op Windows en LinuxMost thuis routers geen gebruik maken van het Linux verbeterde beveiligingsfuncties
Google nu kunt u doneren aan goede doelen via de Play Store CNETFrom jaren 1990 Internet Explorer van Microsoft van de Rand: de Klassieke Windows-browsers TechRepublic
Verwante Onderwerpen:
Beveiliging TV
Data Management
CXO
Datacenters
0